本章讨论在您的环境中强化IIS服务器所需要的指导和程序。要想为组织内部网中的Web服务器和应用软件提供全面的安全性,每一台Microsoft? Internet Information Services (IIS)服务器以及在这些服务器上运行的每一个站点和应用软件都应当受到保护,以免受到与之相连的客户机的攻击。另外,运行在IIS服务器上的这些网站和应用软件还应当免受公司内部Intranet中运行于其它IIS服务器上的网站和应用软件的攻击。
为了在抵制恶意用户和攻击者的过程中占据主动,在安装Microsoft Windows? Server? 2003时,缺省情况下,Windows Server 2003家族在安装时不会安装IIS。IIS最初以高度安全的“锁定”模式安装。例如,默认情况下,IIS最初将只处理静态内容。除江西广告网芾碓逼粲盟牵裨蛑钊鏏ctive Server Pages (ASP)、ASP.NET、Server Side Includes(SSI)、WebDAV(Web Distributed Authoring and Versioning)发布、以及Microsoft FrontPage? Server Extensions等特性将无法工作。这些特性可以通过Internet Information Services Manger (IIS Manager)中的Web Service Extensions节点来启用。
“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。该设置将拒绝很多网络协议,包括服务器信息块(SMB)协议,网络基本输入/输出系统(NetBIOS),通用Internet文件系统(CIFS),超文本传输协议(HTTP),以及 COM 等。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行管理员任务的能力。
World Wide Web发布服务必须得到运行,以便让IIS服务器通过IIS Manager提供网络连通性和管理。您可以使用组策略来保证和设置服务的启动模式,只允许服务器管理员访问改设置,以防止未经授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS服务器的需要将“World Wide Web发布服务”设置配置为“自动”。
其它安全设置
在安装完Windows Server 2003和IIS之后,IIS在缺省情况下只能提供静态的网站内容。如果站点和应用程序包含动态内容,或者需要一个或多个附加IIS组件,每个附加IIS特性必须逐一单独启用。但是,在该过程中必须注意:您需要确保在您的环境中将每个IIS服务器的受攻击面积降至最小。如果您的组织只包含静态内容而无需其它IIS组件,这时,缺省的IIS配置已经可以将您的环境中的IIS服务器的攻击表面降至最小。
MARGO
KATE
彻底完美解决Photoshop CC 2015/20
NATALIA
IP卡
狗仔卡
发表于 2008-12-7 13:30:37
收藏
转播
分享
淘帖
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡